kan je je beschermen tegen een 'malafide' usb stick?

uh ja
met beveiligingssoftware

dit bijvoorbeeld

https://shop.cylance.com/...al&utm_source=cylance.com

Nee, hier kun je niks tegen doen, want op de stick staat de aller laatste(nieuwe) software om te hacken, dus je beveiligings software ligt normaal achter op dit.
Ze kunnen volgens mij zelfs de stroom opvoeren waardoor hardware defect gaat.
De usb stick zegt dat hij een keybord is, dus dan mag deze veel dingen doen op je pc.

En natuurlijk wel je pc /netwerk beveiligen.
En de beste beveiliging is de stick niet erin duwen , maar weg gooien.(gebruikers opvoeden is belangrijk).

Leg op een groot bedrijf, op de parkeer plaats, meerdere usb sticks op de grond, denk dat er veel deze in een pc gedrukt worden.

Simpel: Gewoon geen usb stick's van een onbekend persoon in je laptop stoppen. (Of usb sticks die onbeheerd zijn achter gelaten).

Mocht je toch willen weten wat er op staat, dan kun je de usb stick bijvoorbeeld aansluiten op een oude laptop (Schone installatie zodat er geen persoonlijke informatie opstaat) die niet aan het internet hangt.

Er zijn allerhande technieken die hier iets mee kunnen. Waterdicht is het niet, maar security moet daarom ook een gelaagde opzet hebben.

Ik weet van Kaspersky Endpoint Security dat ze een vorm van USB authorization kunnen. Bij detectie van een USB HID device verschijnt een code die je in moet typen vanaf dat device. Een malicious device zal dat niet zomaar kunnen. Het apparaat krijgt vervolgens geen toegang.

Zo zullen er wel meer zijn.

TTMJ! schreef op maandag 20 april 2020 @ 10:36:
[...]


Zou je met zo een back up computer ook de stick kunnen formatteren en op die manier verschonen? Of zitten de risico's juist in de firmware van de USB controller ?

Ja, dat zou kunnen, volgens mij kan het zelfs zo zijn dat een usb stick niet eens (alleen) een datausb stick is maar bv een "normale/goede" usbstick qua data zijn en een 2e device

Applocker (die in Windows zit). Deze staat alleen software en script toe die je whitelist.

Zo kun je bijvoorbeeld wel de map C:\Windows en C:\Program Files en C:\Program Files (x86) whitelisten, maar programma's scripts die vanaf andere locaties proberen te draaien zullen niet werken.

Ook kun je alleen software en scripts toestaan die (door een specifieke uitgever) zijn gesigned. Hiermee blokkeer je dus vrij veel al.

Dat de USB stick als HID wordt gezien zou wel een risico kunnen vormen als keylogger denk ik.

[ Voor 28% gewijzigd door Hoicks op 20-04-2020 14:43 ]

Rubber Ducky, BadUSB, USBHarpoon, etc. zijn allemaal een HID device welke het USB protocol misbruiken om je computer aan te vallen.

Meestal komen ze in de vorm van een thumbdrive omdat de meeste mensen dat zonder nadenken in een pc proppen. Met gebruik van een kleine microcontroller (b.v. Arduino/Teensy/etc.) kun je dit ook netjes wegwerken in een keyboard, muis of USB gadget zoals b.v. een USB powered fan of leeslampje.
Voor een uitgebreider voorbeeld zie (en later de MS link):
https://medium.com/heck-t...-hid-attacks-ea45d6a68924

Er is diverse software beschikbaar om je te beschermen:
- Diverse end-point security / AV software
- Duckhunter github project en/of USBRip
- Windows specifiek: logfile analyze / intune & gpo & windows defender settings
https://medium.com/@maart...o-the-rescue-80aba28067fe

Dit werkt vaak op de volgende manier of een combinatie van:
1. Software welke een screen-lock / pincode vereist als er een HID is ingeplugd.
2. Detectie van snel typen en/of actief zijn van bepaalde windows, executables, commandos etc.
3. Alleen vertrouwde USB apparaten toestaan, gebaseerd op USB VID/PID.

Dit kan men deels omzeilen:
1. Indien de aanvaller zelf achter het scherm zit kan deze dit overtypen. Anders wellicht een goede phishing campagne opzetten waarbij de gebruiker je belt voor hulp...
2. Laat de controller langzaam typen / vermijd bepaalde executables of acties. Afhankelijk van ingestelde logging (dus meer dan default aanwezig) zal het lastig worden om onopgemerkt te blijven.
3. Moeilijker te omzeilen voor een aanvaller maar ook minder gebruiksvriendelijk voor de gebruiker. Een standaard Rubber Ducky zal dan niet werken.

Nog een reactie op enkele quotes:

Nee, hier kun je niks tegen doen, want op de stick staat de aller laatste(nieuwe) software om te hacken, dus je beveiligings software ligt normaal achter op dit.

Nee dat staat er niet op aangezien de microcontrollers vaak weinig storage hebben. Meestal gemisbruikt men de ingebouwde OS functionaliteit (WMI/Powershell/.Net) en maken ze een backdoor user aan of laten iets downloaden van een remote locatie. Echter door het toevoegen van micro-sd storage en een out-of-band wifi/gsm module is er tegenwoordig veel mogelijk...

Ze kunnen volgens mij zelfs de stroom opvoeren waardoor hardware defect gaat.

Yup, USBKill en de makers verkopen ook heel handig de USB Killer Shield welke je beschermt

"Zou je met zo een back up computer ook de stick kunnen formatteren en op die manier verschonen?"

De stick is geen echte USB stick waar je via de verkenner bij kan komen. Autorun malware welke vroeger via een thumbdrive werd verspreid zou je wel op deze wijze kunnen opschonen.

Applocker (die in Windows zit). Deze staat alleen software en script toe die je whitelist.

Dat klopt en daarom zal men proberen om standaard OS functionaliteit te misbruiken. Zorg dat je als bedrijf de whitelist ooit eens aan een pentester geeft. Wie weet zijn er nog gaten in te schieten,

Start gnu/linux OS, plug de stick er in, kopieer data naar ander medium, verwijder stick, herstart naar Windows.

Dat zou je eigenlijk sowieso met bijna alles moeten doen.

Zulke sticks werken ook prima onder Linux, al zullen ze waarschijnlijk niet de juiste commando's gebruiken om schade toe te brengen. Overigens kun je via wat udev-rules behaalde poorten exclusief voor mass-storage configureren, dan kan er weinig fout meer gaan.

Als je bang bent om je hardware stuk te maken, er bestaat een apparaat speciaal bedoeld om veilig USB sticks te lezen.

Feitelijk is het een raspberry pi, waar je twee sticks in steekt. De ene stick is een die je vertrouwd, en dient als opslagmedium, de ander is de USB stick die je niet vertrouwt. Het apparaat zal het onvertrouwd apparaat uitlezen en kopieren naar je vertrouwde USB stick. Worst-case-scenario blaas je de raspberry pi op

DaFeliX schreef op donderdag 30 april 2020 @ 19:36:
Als je bang bent om je hardware stuk te maken, er bestaat een apparaat speciaal bedoeld om veilig USB sticks te lezen.

Die is bedoeld voor een andere threat vector: USB sticks met malware. BadUSB zal onbedoeld waarschijnlijk ook gestopt worden als het target Windows is. Als een aanvaller weet dat de Pi in gebruik is kan men natuurlijk altijd een Linux payload proberen. Verder zijn er o.a. payloads voor Mac en Android.